5.5.4 Questionnaire de module – Configuration de liste de contrôle d’accès pour IPv4 réponses
1. Les ordinateurs utilisés par les administrateurs réseau pour une école se trouvent sur le réseau 10.7.0.0/27. Quelles sont les deux commandes nécessaires au minimum pour appliquer une liste ACL qui garantira que seuls les périphériques utilisés par les administrateurs réseau seront autorisés à accéder Telnet aux routeurs? (Choisissez deux réponses.)
- access-class 5 in
- access-list 5 deny any
- access-list standard VTY
permit 10.7.0.0 0.0.127 - access-list 5 permit 10.7.0.0 0.0.0.31
- ip access-group 5 out
- ip access-group 5 in
Explication: Les listes d’accès numérotées et nommées peuvent être utilisées sur les lignes vty pour contrôler l’accès distant. La première commande de liste de contrôle d’accès, access-list 5 permit 10.7.0.0 0.0.0.31, autorise le trafic provenant de n’importe quel périphérique sur le réseau 10.7.0.0/27. La deuxième commande de liste de contrôle d’accès, access-class 5 in, applique la liste d’accès à une ligne vty.
2. Examinez la liste d’accès configurée suivante.
R1# show access-lists extended IP access list 100 deny tcp host 10.1.1.2 host 10.1.1.1 eq telnet deny tcp host 10.1.2.2 host 10.1.2.1 eq telnet permit ip any any (15 matches)
Quelles sont les deux caractéristiques de cette liste d’accès? (Choisissez deux réponses.)
- La liste d’accès a été appliquée à une interface.
- Un administrateur réseau ne pourra pas affirmer si la liste d’accès a été appliquée à une interface ou non.
- Le périphérique 10.1.2.1 n’est pas autorisé à accéder par Telnet au périphérique 10.1.2.2.
- Aucun périphérique du réseau 10.1.1.0/24 (autre que le périphérique 10.1.1.2) ne peut accéder par Telnet au routeur attribué à l’adresse IP 10.1.1.1.
- Seul le périphérique 10.1.1.2 peut accéder par Telnet au routeur attribué à l’adresse IP 10.1.1.1.
- Tous les périphériques peuvent accéder par Telnet au périphérique 10.1.2.1.
Explication: La liste d’accès arrête le trafic Telnet d’un appareil 10.1.1.2 vers un appareil 10.1.1.1. arrête également le trafic Telnet de l’appareil 10.1.2.2 à l’appareil 10.1.2.1.Tous les autres transferts basés sur les protocoles TCP/IP sont autorisés. La liste d’accès fonctionne, car il y a 15 correspondances sur la dernière plate-forme de contrôle des applications (ACE).
3. Quelle commande vérifiera le nombre de paquets autorisés ou refusés par une ACL qui restreint l’accès SSH?
- show running-config
- show ip interface brief
- show access-lists
- show ip ssh
Explication: La commande show-access lists affiche chaque ligne d’une liste d’accès et le nombre de correspondances à chaque instruction. La commande show running-config affiche les instructions telles qu’elles ont été configurées, mais ne fournit aucune information sur les correspondances. La commande show ip ssh donne des informations générales sur la configuration SSH.
4. Quelle instruction de liste d’accès autorise le trafic HTTP provenant de l’hôte 10.1.129.100 port 4300 et destiné à l’hôte 192.168.30.10?
- access-list 101 permit tcp any eq 4300
- access-list 101 permit tcp 192.168.30.10 0.0.0.0 eq 80 10.1.0.0 0.0.255.255
- access-list 101 permit tcp 10.1.129.0 0.0.0.255 eq www 192.168.30.10 0.0.0.0 eq www
- access-list 101 permit tcp 10.1.128.0 0.0.1.255 eq 4300 192.168.30.0 0.0.0.15 eq www
- access-list 101 permit tcp host 192.168.30.10 eq 80 10.1.0.0 0.0.255.255 eq 4300
Explication: Le protocole HTTP utilise le port 80 et est désigné dans une liste ACL en utilisant le paramètre eq 80 ou en utilisant eq www. La première adresse IP répertoriée dans une liste ACL est l’adresse source ainsi que le masque générique approprié. Avec une adresse IP source de 10.1.128.0 et un masque générique de 0.0.1.255, les adresses IP de 10.1.128.0 à 10.1.129.255 sont autorisées.
5. Lors de la configuration de la sécurité du routeur, quelle instruction décrit le moyen le plus efficace d’utiliser les ACL pour contrôler le trafic Telnet destiné au routeur lui-même?
- L’ACL doit être appliquée à chaque ligne vty individuellement.
- L’ACL est appliquée au port Telnet avec la commande ip access-group.
- Appliquez l’ACL aux lignes vty sans l’option in ou out requise lors de l’application des ACL aux interfaces.
- L’ACL doit être appliquée à toutes les lignes vty dans la direction in pour empêcher un utilisateur indésirable de se connecter à un port non sécurisé.
Explication: Parce que quelqu’un de l’extérieur du routeur essaie d’utiliser un protocole tel que Telnet ou SSH pour accéder au routeur, la direction ACL doit être vers l’intérieur dans le routeur via les lignes vty.
6. Quels paquets correspondraient à l’instruction de liste de contrôle d’accès affichée ci-dessous?
access-list 110 permit tcp 172.16.0.0 0.0.0.255 any eq 22
- Trafic SSH du réseau 172.16.0.0 vers n’importe quel réseau de destination
- Trafic SSH de n’importe quel réseau source vers le réseau 172.16.0.0
- Tout trafic TCP depuis n’importe quel hôte vers le réseau 172.16.0.0
- Tout trafic TCP à partir du réseau 172.16.0.0 vers n’importe quel réseau de destination
Explication: L’instruction, access-list 110 permit tcp 172.16.0.0 0.0.0.255 any eq 22, correspondra au trafic sur le port 22, qui est SSH, qui est source du réseau 172.16.0.0/24 avec n’importe quelle destination.
7. Examinez la commande de la liste d’accès en application sortante sur une interface série de routeur.
access-list 100 deny icmp 192.168.10.0 0.0.0.255 any echo reply
Quel est l’effet de l’application de cette commande list d’accès?
- Le seul trafic refusé est le trafic ICMP. Tous les autres trafics sont autorisés.
- Le seul trafic refusé est la réponse par écho provenant du réseau 192.168.10.0/24. Tous les autres trafics sont autorisés.
- Les utilisateurs sur le réseau 192.168.10.0/24 ne sont pas autorisés à transmettre un trafic vers d’autres destinations.
- Aucun trafic n’est autorisé à sortir sur l’interface sortie.
Explication: À la fin de chaque liste d’accès étendue, il y a un refus d’adresse IP sous n’importe quelle déclaration pour qu’aucun envoi de trafic en dehors de l’interface en série ne soit autorisé.
8. Examinez le résultat suivant pour une liste de contrôle qui a été appliquée à un routeur via la commande access-class in. Qu’est-ce qu’un administrateur de réseau peut déterminer à partir des résultats affichés ?
R1# <output omitted> Standard IP access list 2 10 permit 192.168.10.0, wildcard bits 0.0.0.255 (2 matches) 20 refuser tout (1 correspondance)
- Deux périphériques connectés au routeur sont affectés à l’adresse IP 192.168.10.x.
- Le trafic de l’un des périphériques ne peut pas accéder à l’un des ports de routeur et a été acheminé en direction sortante vers un autre port de routeur.
- Deux périphériques ont pu utiliser SSH ou Telnet pour obtenir l’accès au routeur.
- Le trafic des deux périphériques ne peut pas accéder à l’un des ports de routeur et a été acheminé en direction sortante vers un autre port de routeur.
Explication: La commande access-class est utilisée uniquement sur les ports VTY. Les ports VTY prennent en charge un trafic Telnet et/ou SSH. La correspondance de la condition permit de l’ACE indique le nombre de tentatives autorisé sur les ports VTY. La correspondance de la condition deny de l’ACE indique qu’un périphérique d’un réseau différent de 192.168.10.0 n’a pas été autorisé à accéder au routeur via les ports VTY.
9. Quelles sont les deux commandes qui permettent de configurer une liste de contrôle d’accès standard? (Choisissez deux réponses.)
- Router(config)# access-list 20 permit host 192.168.5.5 any any
- Router(config)# access-list 90 permit 192.168.10.5 0.0.0.0
- Router(config)# access-list 45 permit 192.168.200.4 host
- Router(config)# access-list 10 permit 10.20.5.0 0.255.255.255 any
- Router(config)# access-list 35 permit host 172.31.22.7
Explication: Les listes d’accès standard comportent la syntaxe access-list et un nombre entre 1 et 99, suivi du mot-clé permit ou deny ainsi que de l’adresse IP source (qui comprend un masque de saisie).
10. Pour faciliter le processus de dépannage, quel message ICMP entrant devrait être autorisé sur une interface externe?
- Echo request
- Réponse d’écho
- Time-stamp request
- Time-stamp reply
- Annonce du routeur
Explication: En autorisant le message de réponse d’écho ICMP entrant dans l’organisation, les utilisateurs internes sont autorisés à envoyer un ping aux adresses externes (et le message de réponse est autorisé à retourner).
11. Quelles deux ACE peuvent être utilisées pour rejeter le trafic IP d’un hôte source unique 10.1.1.1 au réseau 192.168.0.0/16? (Choisissez deux propositions.)
- Access-list 100 deny ip host 10.1.1.1 192.168.0.0 0.0.255.255
- Access-list 100 deny ip 192.168.0.0 0.0.255.255 host 10.1.1.1
- Access-list 100 deny ip 10.1.1.1 255.255.255.255 192.168.0.0 0.0.255.255
- Access-list 100 deny ip 10.1.1.1 0.0.0.0 192.168.0.0 0.0.255.255
- Access-list 100 deny ip 192.168.0.0 0.0.255.255 10.1.1.1 255.255.255.255
- Access-list 100 deny ip 192.168.0.0 0.0.255.255 10.1.1.1 0.0.0.0
Explication: Il existe deux manières d’identifier un hôte unique dans un élément de liste d’accès. La première consiste à utiliser le mot clé d’hôte avec l’adresse IP d’hôte ; la seconde consiste à utiliser un masque générique de 0.0.0.0 avec l’adresse IP d’hôte. La source du trafic à inspecter par la liste d’accès figure en premier dans la syntaxe ; la destination vient en dernier.
12. Un administrateur a configuré une liste d’accès sur R1 pour autoriser l’accès administratif SSH à partir de l’hôte 172.16.1.100. Quelle commande applique correctement l’ACL?
- R1(config-if)# ip access-group 1 in
- R1(config-if)# ip access-group 1 out
- R1(config-line)# access-class 1 in
- R1(config-line)# access-class 1 out
Explication: L’accès administratif via SSH au routeur passe par les lignes vty. Par conséquent, le ACL doit être appliquée à ces lignes dans le sens de l’arrivée. Ceci est accompli en entrant en mode de configuration de ligne et en émettant la commande access-class.